Помогите избавиться от зверья

**Moroes** · 13.12.2007, 11:40

Собственно вот логи...помогитеЗаранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Moroes** · 13.12.2007, 11:48

вот

**Bratez** · 13.12.2007, 13:04

Выполните скрипт в AVZ:

Код:

begin
 BC_QrFile('C:\autorun.inf');
 BC_QrFile('C:\Recycled\Recycled\ctfmon.exe');
 BC_QrFile('C:\Documents and Settings\Пользователь\Главное меню\Программы\Автозагрузка\ctfmon.exe');
 BC_QrFile('C:\WINDOWS\TEMP\QX5D7B.EXE');
 BC_QrFile('C:\WINDOWS\System32\drivers\Msy74.sys');
 BC_QrFile('C:\WINDOWS\System32\drivers\runtime.sys');
 BC_QrFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_QrFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
 BC_QrFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
 BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\Msy74.sys');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
 BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteSvc('Msy74');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('smtpdrv');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пофиксите в HijackThis:

Код:

O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Документы\Settings\arm32.dll (file missing)

Пришлите карантин согласно приложению 3 правил.
Скачайте новую версию AVZ - 4.29.
Сделайте новые логи.

**Moroes** · 13.12.2007, 14:42

Смогу только завтра выполнить скрипт, потому как инфицированный уже заперт в кабинете другом

И вот вотпрос есть: AVZ с флешки будет рабтать?

Зарнее спасибо

**Bratez** · 13.12.2007, 14:44

AVZ с флешки будет рабтать?

Конечно, без проблем.

**Moroes** · 13.12.2007, 14:58

ок. спс. завтра все сделаю и логи выложу

З.Ы. "Скачайте новую версию AVZ - 4.29." - обновить просто или где то отделно надо скачать (если да то где)

**Bratez** · 13.12.2007, 15:04

Скачать отдельно. Вот прямая ссылка: http://z-oleg.com/avz4.zip

**Moroes** · 14.12.2007, 08:30

Новая версия еще много всего нашла...что то удалила что то нет...вот логи

**Moroes** · 14.12.2007, 08:33

карантин отправил...Файл сохранён как 071213_233327_virus_476215a75d17e.zip

**V_Bond** · 14.12.2007, 10:04

выполните скрипт ...

Код:

begin
 SearchRootkit(false, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Msy74', 'Start');
 RebootWindows(true); 
end.

пофиксите ..

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

выполните скрипт...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\4.tmp','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\3.tmp','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\2.tmp','');
 QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Temp\1.tmp','');
 DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\Msy74.sys');
BC_DeleteSvc('Msy74');
BC_DeleteSvc('ip6fw');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

**Moroes** · 14.12.2007, 15:00

карантин отправи...Файл сохранён как 071214_055638_virus_47626f76c08b9.zip

Вроде получше стали, но вроде как один троян еще остался по карантину видно...

И еще: а RUNAUTO......... не детектится каспером что ли, да и AVZ его вроде не видит??

**Bratez** · 14.12.2007, 15:13

Очистите папки:
C:\Documents and Settings\Пользователь\Local Settings\Temp
C:\WINDOWS\Temp

Диск F: - съемный?
Подключите тот,что был при создании последних логов.
Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
DeleteFile('C:\autorun.inf');
DeleteFile('C:\Recycled\ctfmon.exe');
DeleteFile('C:\Recycled\Recycled\ctfmon.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\Recycled\ctfmon.exe');
DeleteFile('F:\Recycled\Recycled\ctfmon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделайте новые логи.

**Moroes** · 14.12.2007, 15:41

C:\Documents and Settings\Пользователь\Local Settings\Temp - эта папка уже очищена.

а все остальное только в понеделтник смогу сделать, так как это комп рабочий. F это флешка с авз и хайджеком, а файлик авотран.инф это как раз один из файлов RUNAUTO....

В понедельник будут логи. Большое спасибо за помощь и советы

**CyberHelper** · 22.02.2009, 03:04

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 10
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\пользователь\\local settings\\temp\\1.tmp - Trojan.Win32.Pakes.brq (DrWEB: BackDoor.Bulknet.102)
2. c:\\documents and settings\\пользователь\\local settings\\temp\\2.tmp - Trojan.Win32.Pakes.brq (DrWEB: BackDoor.Bulknet.102)
3. c:\\documents and settings\\пользователь\\local settings\\temp\\3.tmp - Trojan.Win32.Pakes.brq (DrWEB: BackDoor.Bulknet.102)
4. c:\\documents and settings\\пользователь\\local settings\\temp\\4.tmp - Trojan.Win32.Pakes.brq (DrWEB: BackDoor.Bulknet.102)
5. c:\\windows\\system32\\drivers\\ip6fw.sys - Trojan-Downloader.Win32.Diehard.dr (DrWEB: Trojan.NtRootKit.497)
6. f:\\autorun.inf - Trojan.Win32.VB.aqt (DrWEB: Win32.HLLW.Autoruner.274)

Помогите избавиться от зверья (заявка № 15218)

Опции темы

Помогите избавиться от зверья

Итог лечения

Похожие темы

питомник зверья

Dialerы и еще куча зверья

Помогите от зверья избавиться

Ещё один ПК после "зверья"

нужен совет по отлову зверья...

Ваши права в разделе